JP2013152757A - Intersystem single sign-on - Google Patents
Intersystem single sign-on Download PDFInfo
- Publication number
- JP2013152757A JP2013152757A JP2013094691A JP2013094691A JP2013152757A JP 2013152757 A JP2013152757 A JP 2013152757A JP 2013094691 A JP2013094691 A JP 2013094691A JP 2013094691 A JP2013094691 A JP 2013094691A JP 2013152757 A JP2013152757 A JP 2013152757A
- Authority
- JP
- Japan
- Prior art keywords
- user
- service
- website
- information
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 87
- 238000013507 mapping Methods 0.000 claims abstract description 47
- 238000012795 verification Methods 0.000 claims abstract 2
- 238000003860 storage Methods 0.000 claims description 3
- 230000002085 persistent effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 24
- 238000007726 management method Methods 0.000 description 18
- 238000013500 data storage Methods 0.000 description 16
- 238000013475 authorization Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
Description
本開示は、概してコンピュータおよびインターネット技術、特にシステム間シングルサインオン(SSO)のシステムおよび方法に関する。 The present disclosure relates generally to computer and Internet technologies, and particularly to systems and methods for intersystem single sign-on (SSO).
多くのインターネット系アプリケーションは、互いに連携しているが、依然として独立している、複数のシステムに渡る一連のステップを実行することをユーザに要求する。例えば、インターネット商用アプリケーションにおいて、消費者は、販売者のウェブサイトで購入する製品を選択してもよいが、支払いサービス業者が所有する別のウェブサイトを通して支払いを行う必要がある。この手順は、消費者対消費者(C2C)電子商取引アプリケーションにおいて特に一般的であり、販売者は、電子決済を受け取る態勢ではない、または直接支払いを行うのに信用があるとの評判をまだ受けていない。インターネットオークションでは、例えば、買手がC2Cウェブサイト(オークションサイト)で購入セレクションを作成するが、販売者に直接支払う代わりに、買手は、多くの場合、その安全で、信頼性があり、かつ便利な即時電子決済で知られる場合がある、第3者であるサービス業者の支払いウェブサイトから支払うことを好む。本実施例では、C2Cウェブサイトおよび第3者の支払いウェブサイトは、2つの独立した会社により維持される、2つの独立したウェブサイトであり、それぞれは独自のユーザIDドメインおよびID認証メカニズムを有する。購入取引を完了するには、買手は、2回(C2Cウェブサイトで1回、第3者の支払いウェブサイトでもう1回)ログオンする必要がある場合がある。しかし、ユーザ(買手)の視点から見ると、1つの購入取引中に、2つの異なるウェブサイトにサインオンすることなく、速やかで簡易化された買い物体験が通常望ましい。 Many Internet-based applications require users to perform a series of steps across multiple systems that are linked to each other but are still independent. For example, in an Internet commercial application, a consumer may select a product to purchase on a merchant's website, but needs to pay through another website owned by a payment service provider. This procedure is particularly common in consumer-to-consumer (C2C) e-commerce applications, where the seller is still not reputed to receive electronic payments or has a reputation for being credible to make direct payments. Not. In an Internet auction, for example, a buyer makes a purchase selection on a C2C website (auction site), but instead of paying directly to the seller, the buyer is often safe, reliable and convenient I prefer to pay from a third party service provider's payment website, sometimes known for instant electronic payments. In this example, the C2C website and the third party payment website are two independent websites maintained by two independent companies, each with its own user ID domain and ID authentication mechanism. . To complete the purchase transaction, the buyer may need to log on twice (once at the C2C website and once at the third party payment website). However, from the user's (buyer's) point of view, it is usually desirable to have a quick and simplified shopping experience without signing on to two different websites during one purchase transaction.
SSOは、ユーザが、ID認証のために、1回のみユーザID情報を入力すればよく、その結果、ユーザID認証を必要とする複数のシステムまたはアプリケーションプログラムに自動的にサインオンすることができる、ログオン環境を指す。ユーザID情報の1回限りの入力は、複数のシステムまたはアプリケーションプログラムの1つで行われる。ユーザは、他のシステムまたはアプリケーションプログラムから、ユーザID情報を再度入力する必要はない。 SSO requires that a user enters user ID information only once for ID authentication, and as a result, can automatically sign on to multiple systems or application programs that require user ID authentication. Refers to the logon environment. One-time input of user ID information is performed by one of a plurality of systems or application programs. The user does not need to input user ID information again from another system or application program.
従来のSSO方法およびシステムは、(1)ユニバーサルユーザビューを維持するための集中ユーザ管理システム、(2)統一されたユーザID認証を実行するための共通ユーザID認証システムの2つの基本的なソフトウェアおよびハードウェアコンポーネントに基づく。ユーザは最初に、ユニバーサルユーザIDを使用して、共通ユーザID認証システムにサインオンし、それによって加入しているシステムにユーザのIDを証明するための承認トークンを取得する。ユーザが同一ユーザID管理ドメイン内の加入しているシステムを訪問することを要求すると、隠し「パスワード」として認証トークンがユーザのログオン要求に含まれる。対象の加入しているシステムは、共通ユーザID認証システムにトークンの妥当性を検証するよう問い合わせ、問い合わせの結果に基づき、ユーザIDが有効であるかを判断する。 Conventional SSO methods and systems include two basic software: (1) a centralized user management system for maintaining a universal user view, and (2) a common user ID authentication system for performing unified user ID authentication. And based on hardware components. The user first uses the universal user ID to sign on to the common user ID authentication system, thereby obtaining an authorization token to prove the user's ID to the subscribing system. When a user requests to visit a subscribed system in the same user ID management domain, an authentication token is included in the user's logon request as a hidden “password”. The target subscribing system inquires the common user ID authentication system to verify the validity of the token, and determines whether the user ID is valid based on the result of the inquiry.
図1は、従来のSSO方法およびシステムの例を図示する。図1の方法およびシステムによる、シングルサインオンのための手順を以下に記載する。 FIG. 1 illustrates an example of a conventional SSO method and system. The procedure for single sign-on according to the method and system of FIG. 1 is described below.
ステップ1では、ユーザ(図示せず)は、ユーザのブラウザ100を介してアプリケーションシステム110にその特定のリソースにアクセスするための最初の要求を行う。ユーザが承認IDトークンを有していないことが発見されると、アプリケーションシステム110は、ID認証のために、ユーザを共通ID認証および承認システム120にリダイレクトする。共通ID認証および承認システム120は、ユーザID管理に共通ユーザIDライブラリ130を利用する。
In step 1, a user (not shown) makes an initial request to the
ステップ2では、ユーザは、共通ID認証および認証システム120でID認証プロセスを通過し、承認IDトークンを受信する。
In
ステップ3では、ユーザは共通ID認証および承認システム120によって、アプリケーションシステム110にリダイレクトされ、承認IDトークンをアプリケーションシステム110に送信する。
In
ステップ4では、アプリケーションシステム110は、IDトークンの妥当性を検証するために、承認IDトークンを共通ID認証および承認システム120に送信する。IDトークンが有効であることが証明されると、アプリケーションシステム110は、ユーザが要求したリソースにアクセスすることを許可し、そうでなければ、アプリケーションシステム110は、ユーザによるアクセスを拒否する。
In step 4, the
図示されるように、従来のSSO方法は、複数のアプリケーションシステムにより共有される共通ID認証および承認システムを必要とし、共通ユーザIDライブラリをさらに必要とする。複数のアプリケーションシステムが様々な管理システムを使用する多様なウェブサイトにホストされるため、共通ユーザIDライブラリおよび共通ID認証ならびに承認システムを確立することは、管理戦略および技術的導入の両方に困難をもたらす。そのような困難の代表的な例には、以下が挙げられる。
1.異なるウェブサイトは、異なるユーザグループを有する。これらのユーザグループは、それぞれにセットを構成する。これらのセットは、互いに交差する場合があるが、通常、互いと同一ではない。結果として、異なるユーザグループを共通ユーザIDライブラリィに一体化し、一元管理することは難しい。
2.異なるウェブサイトは、ユーザ登録および管理のための独自の固有な方法ならびに手順を有する。異なるウェブサイトにそれらのシステムを共通ユーザID管理システムに変換することを要求することは、多くの場合、ビジネス要件と両立しない。
3.共通ユーザIDライブラリが複数のシステムに共有されるとしても、それぞれのシステムは、個々にアップグレードする必要がある場合がある。結果として、使用される標準規格に関して合意を得ることは難しく、共通ユーザIDライブラリの確立および維持において、どのシステムが優位性を有するべきかを判断することは、さらに難しい。
4.インターネット上で、IDトークンは、通常、一般に同一SSOログオンドメインのすべてのウェブサイトが同一ネットワークドメインに属することを要求する、クッキーを使用して通信される。可能であるとしても、異なるネットワークドメインに渡りSSOを確立することは、非常に複雑な手順を必要とする。
5.共通ユーザID認証システムは、集中セッション管理ユニットであり、典型的に、単一障害点であり、性能においてボトルネックとなる問題点である。そのような問題の解決には、費用の掛かる、複雑なクラスタ技術が必要である場合があり、システムの構築および維持費用を大幅に増加する。
6.複数の個別ユーザID認証および管理システムを共通ユーザID認証および管理システムに変更するために、既存のシステムの相当な変更および改造が必要となる場合がある。これは、費用を増大するだけでなく、大きなリスクも伴う。
As shown, the conventional SSO method requires a common ID authentication and authorization system shared by multiple application systems, and further requires a common user ID library. Since multiple application systems are hosted on various websites using different management systems, establishing a common user ID library and common ID authentication and authorization system presents difficulties for both management strategy and technical implementation. Bring. Typical examples of such difficulties include:
1. Different websites have different user groups. Each of these user groups constitutes a set. These sets may intersect each other but are usually not identical to each other. As a result, it is difficult to integrate different user groups into a common user ID library for centralized management.
2. Different websites have their own unique methods and procedures for user registration and management. Requiring different websites to convert their systems to a common user identity management system is often incompatible with business requirements.
3. Even if the common user ID library is shared by multiple systems, each system may need to be individually upgraded. As a result, it is difficult to reach agreement on the standards used, and it is more difficult to determine which systems should have an advantage in establishing and maintaining a common user ID library.
4). On the Internet, ID tokens are typically communicated using cookies that generally require that all websites in the same SSO logon domain belong to the same network domain. Even if possible, establishing SSO across different network domains requires a very complex procedure.
5. The common user ID authentication system is a centralized session management unit, which is typically a single point of failure and a bottleneck in performance. Solving such problems may require costly and complex cluster technology, which greatly increases system construction and maintenance costs.
6). In order to change a plurality of individual user ID authentication and management systems to a common user ID authentication and management system, significant changes and modifications to existing systems may be required. This not only increases costs, but also carries significant risks.
前述の理由のため、SSO方法およびシステムの改善に対する重大な必要性が存在する。 For the foregoing reasons, there is a significant need for improved SSO methods and systems.
従来の集中モデルの代わりに、ユーザID管理の分散モデルを使用するシングルサインオン(SSO)技術を記載する。システム間シングルサインオンは、複数のシステムのユーザIDをマップするためのユーザIDマッピング概念を使用することにより可能になる。 A single sign-on (SSO) technique is described that uses a distributed model of user ID management instead of the traditional centralized model. Inter-system single sign-on is made possible by using a user ID mapping concept for mapping user IDs of multiple systems.
一側面によると、第1のシステムと第2のシステムとの間のシングルサインオンの方法が提供される。第1のシステムは、第1のシステムに関するユーザのID情報を取得する。その後第1のシステムは、システム間ユーザIDマッピング関係に従い、第1のシステムに関するユーザのID情報から第2のシステムに関するユーザのID情報を取得し、第2のシステムに関するユーザのID情報を第2のシステムに送信する。ユーザのID情報を受信した上で、第2のシステムは、ユーザが第2のシステムにサインオンできるようにする。 According to one aspect, a method for single sign-on between a first system and a second system is provided. The first system acquires user ID information related to the first system. Thereafter, the first system obtains the user ID information related to the second system from the user ID information related to the first system according to the inter-system user ID mapping relationship, and the user ID information related to the second system is obtained as the second To the system. Upon receiving the user's ID information, the second system allows the user to sign on to the second system.
一実施形態では、システム間で通信されるユーザID情報は、デジタル署名技術を使用して暗号化される。例えば、第1のシステムは、第2のシステムに関するユーザのID情報に添付される署名を作成し、第2のシステムに関するユーザのID情報と共に該署名を第2のシステムに送信する。第2のシステムは、受信した署名を審査することによって、ユーザID情報を認証する。1つの例示的なアプリケーションでは、ユーザは、最初に第1のシステムにサインオンする。第2のシステムは、ユーザのID情報が認証された場合、ユーザが第2のシステムにサインオンできるようにする。ユーザが第1のシステムにまだサインオンしていない場合、第1のシステムは、ユーザのIDを認証するために、ユーザにサインオンすることを要求する場合がある。 In one embodiment, user ID information communicated between systems is encrypted using digital signature technology. For example, the first system creates a signature attached to the user ID information related to the second system, and transmits the signature together with the user ID information related to the second system to the second system. The second system authenticates the user ID information by examining the received signature. In one exemplary application, the user first signs on to the first system. The second system allows the user to sign on to the second system when the user's ID information is authenticated. If the user has not yet signed on to the first system, the first system may require the user to sign on to authenticate the user's identity.
第1のシステムは、ユーザが第2のシステムにサインオンしようとしたという知らせを受けた上で、署名を作成するように設定されていてもよい。この知らせは、第1のシステムでユーザにより起動されたログオン要求、または第2のシステムによって第1のシステムにリダイレクトされたログオン要求のいずれかである場合がある。 The first system may be configured to create a signature upon receiving notification that the user has attempted to sign on to the second system. This notification may be either a logon request initiated by a user on the first system or a logon request redirected to the first system by the second system.
該方法の一実施形態では、第1のシステムは、ユーザが第1のシステムから来たことを第2のシステムに知らせる。第2のシステムは、この認識を使用して、第2のシステムにサインオンする際のユーザの権限を絞り込む、例えば制限してもよい。 In one embodiment of the method, the first system informs the second system that the user has come from the first system. The second system may use this recognition to narrow, eg limit, the user's authority when signing on to the second system.
署名は、第1のシステムにより、暗号デジタル署名で暗号化されてもよい。従って、第2のシステムは、署名を認証するために、暗号デジタル署名を復号化する。暗号化および復号化は、公開鍵暗号化および秘密鍵暗号化などのいずれの適した暗号化技術を使用して行われてもよい。また、ハッシング技術を使用してもよい。第1のシステムは、ユーザID情報を第2のシステムに送信する前に、第2のシステムに関するユーザID情報の少なくとも一部分からハッシュを作成してもよい。 The signature may be encrypted with the cryptographic digital signature by the first system. Thus, the second system decrypts the cryptographic digital signature to authenticate the signature. Encryption and decryption may be performed using any suitable encryption technique such as public key encryption and private key encryption. A hashing technique may also be used. The first system may create a hash from at least a portion of the user ID information for the second system before sending the user ID information to the second system.
一実施形態では、第1のシステムは、署名および/またはユーザのID情報を第2のシステムに送信する前に、署名および/または第2のシステムに関するユーザのID情報にタイムスタンプを押す。第2のシステムは、タイムスタンプ情報を確認することによって、署名および/またはユーザのID情報を認証する。例えば、タイムスタンプ情報は、現行のタイムスタンプと同一ユーザに関する以前のタイムスタンプとを比較することにより、確認されてもよい。署名および/またはユーザのID情報は、現行のタイムスタンプが以前のタイムスタンプの後続である場合にのみ認証される。第2のシステムは、署名のログ記録および受信したユーザのID情報を保持する場合がある。 In one embodiment, the first system stamps the signature and / or user ID information about the second system before sending the signature and / or user ID information to the second system. The second system authenticates the signature and / or user ID information by verifying the time stamp information. For example, the time stamp information may be verified by comparing the current time stamp with a previous time stamp for the same user. The signature and / or user identity information is authenticated only if the current timestamp is a successor to the previous timestamp. The second system may maintain signature log records and received user ID information.
別の側面によると、システム間ユーザサインオンを認証するためのシステムが提供される。該システムは、データストレージ、およびデータストレージに保存されたユーザ情報を使用して、ログオンを要求しているユーザのIDを認証するためのID認証デバイスを有する。該システムは、データストレージに保存されるユーザIDマッピングデータをさらに有する。ユーザIDマッピングデータは、現行システムに関するユーザID情報とパートナーシステムに関するユーザID情報との間のマッピング関係を定義する。該システムは、マッチング関係を使用して、システムに関するユーザID情報からパートナーシステムに関するユーザID情報を取得するように適応される。 According to another aspect, a system is provided for authenticating inter-system user sign-on. The system includes a data storage and an ID authentication device for authenticating the ID of a user who is requesting logon using user information stored in the data storage. The system further includes user ID mapping data stored in the data storage. The user ID mapping data defines a mapping relationship between user ID information about the current system and user ID information about the partner system. The system is adapted to obtain user ID information about the partner system from user ID information about the system using a matching relationship.
一実施形態では、該システムは、パートナーシステムに関するユーザID情報に添付される署名を生成するための署名ジェネレータを有する。署名ジェネレータは、暗号化アルゴリズムを使用してもよい。 In one embodiment, the system includes a signature generator for generating a signature that is attached to user ID information about the partner system. The signature generator may use an encryption algorithm.
別の側面によると、システム間ユーザサインオンを認証するためのシステムは、現行システムに関するユーザID情報を保存するデータストレージ、およびデータストレージに保存されたユーザID情報を使用してユーザIDを認証するためのID認証デバイスを有する。該システムは、パートナーシステムから受信したユーザIDに添付された署名を復号化し、データストレージに保存されたユーザID情報を判断することによって、受信したユーザIDを認証するための署名認証デバイスをさらに有する。該システムは、署名認証デバイスによる署名の認証が成功した上で、ユーザがログオンすることを許可することができる。一実施形態では、該システムは、ユーザのログオン方法に従い、ユーザの権限を制限するためのユーザ権限コントローラをさらに有する。 According to another aspect, a system for authenticating inter-system user sign-on authenticates a user ID using a data storage storing user ID information related to the current system, and the user ID information stored in the data storage. For having an ID authentication device. The system further includes a signature authentication device for authenticating the received user ID by decrypting the signature attached to the user ID received from the partner system and determining user ID information stored in the data storage. . The system can permit a user to log on after successful authentication of a signature by a signature authentication device. In one embodiment, the system further comprises a user rights controller for restricting user rights according to a user logon method.
従来のSSO方法およびシステムとは異なり、本開示に記載される技術は、集中モデルの代わりに、分散ユーザ管理モデルを使用する。システム間IDマッピング概念を使用し、異なるシステムに関するユーザID情報を統合するために、直接ユーザIDマッピングテーブルが構築されてもよい。安全性を強化するために、デジタル署名技術を使用することができる。ユーザIDマッピングおよびデジタル署名技術の両方は、既存のシステムの単純な拡張であり、既存のユーザID認証システムの根本的な変更を必要としない。複数の独立したシステムを含む、大きな共同システムは、相互信頼関係に基づき、それぞれのシステムを大幅に変更したり、その独立性を放棄したりする必要なく、構築される場合がある。 Unlike traditional SSO methods and systems, the techniques described in this disclosure use a distributed user management model instead of a centralized model. A direct user ID mapping table may be constructed to integrate user ID information for different systems using the inter-system ID mapping concept. Digital signature technology can be used to enhance security. Both user ID mapping and digital signature techniques are simple extensions of existing systems and do not require fundamental changes to existing user ID authentication systems. Large collaborative systems that include multiple independent systems may be built based on mutual trust relationships without having to significantly change each system or abandon its independence.
記載される技術の他の特徴および利点は、以下の詳細な説明および図から、より容易に理解されるだろう。 Other features and advantages of the described technology will be more readily understood from the following detailed description and figures.
添付の図を参照しながら、詳細な説明を記載する。図では、参照番号の最も左の数字により、参照番号が最初に表示される図を識別する。同一参照番号の異なる図での使用は、同様または同一事項を示す。 The detailed description is described with reference to the accompanying figures. In the figure, the leftmost digit of the reference number identifies the figure in which the reference number is first displayed. Use of the same reference number in different figures indicates similar or identical items.
以下の代表的な実施例に実証されるように、本明細書に記載の技術は、既存のシングルサインオン(SSO)方法に見られるユーザID管理の集中モデルから離れ、ユーザID管理の分散モデルを導入する。この設計は、高度な技術的複雑性の問題および管理の困難性に対処する。 As demonstrated in the following representative examples, the techniques described herein depart from the centralized model of user ID management found in existing single sign-on (SSO) methods, and a distributed model of user ID management. Is introduced. This design addresses high technical complexity issues and management difficulties.
本開示の一側面によると、複数のシステムのユーザIDをマップするためにシステム間ユーザIDマッピングを使用する、システム間シングルサインオンのための方法が提供される。C2Cウェブサイトまたは支払いウェブサイトのような、それぞれが独立したウェブサイトである場合がある、別個のパートナーシステムは、独自のユーザIDおよびユーザID管理システムを保持することが可能であり、共通ユーザIDライブラリおよび共通ユーザID管理システムに準拠する必要はない。 According to one aspect of the present disclosure, a method for inter-system single sign-on is provided that uses inter-system user ID mapping to map user IDs of multiple systems. Separate partner systems, each of which may be an independent website, such as a C2C website or a payment website, can have their own user ID and user ID management system, and a common user ID It is not necessary to comply with the library and the common user ID management system.
異なるシステムに関するユーザIDは、たとえ同一ユーザであっても異なる可能性があるため、本開示は、異なるシステム間で調整するためのシステム間ユーザIDマッピング技術を導入する。マッピングは、異なるシステム間における同一ユーザのIDのマッチング対応を定義する。特定のユーザのそれぞれのIDは、異なるシステムにおいて異なる場合がある、ユーザ名およびパスワードなどの基本属性を有する場合があるが、生年月日、住所、および選好などのその他の属性が含まれている場合もある。マッピングは、いずれの適した方法で行われてもよいが、好ましくは、システムがそれぞれのユーザを一意的に識別することができ、別のシステムに関連するユーザのID情報の認識に基づき、1つのシステムに関するそれぞれのユーザのID情報が識別可能であるべきである。 Since user IDs for different systems can be different even for the same user, this disclosure introduces inter-system user ID mapping techniques to coordinate between different systems. Mapping defines the matching correspondence of the same user ID between different systems. Each ID of a particular user may have basic attributes such as username and password, which may be different in different systems, but includes other attributes such as date of birth, address, and preferences In some cases. The mapping may be done in any suitable manner, but preferably the system can uniquely identify each user and is based on the recognition of the user's ID information associated with another system. Each user's ID information for one system should be identifiable.
図2は、本開示によるインターネット電子商取引においてシングルサインオンを達成するための例示的なシステム200の概略図である。図2に示されるように、ユーザCは、ユーザのブラウザ210を介して、ウェブサイトAおよびウェブサイトBに代表される2つのパートナーシステムに関連するインターネット取引を試みる。シングルサインオンは、ウェブサイトAとウェブサイトBとの間で行われる。ウェブサイトAおよびウェブサイトBは、インターネット上の2つの独立したウェブサイトである。それらは、インターネット上のどこに位置してもよく、ネットワークドメインAおよびネットワークドメインBの2つの異なるドメインに属していてもよく、同一のネットワークドメインに属していてもよい。
FIG. 2 is a schematic diagram of an
ウェブサイトAは、データストレージ220に保存されたユーザライブラリ224によって定義される、独自のユーザグループを有する。またウェブサイトBも、データストレージ230に保存されたユーザライブラリ234によって定義される、独自のユーザグループを有する。データストレージ220および230のそれぞれは、単一ストレージデバイスまたは複合ストレージシステムであってもよい。
Website A has its own user group defined by a
ウェブサイトAは、ログオンを要求しているユーザのIDを認証するためのID認証デバイス221をさらに有する。認証プロセスは、データストレージ220に保存されるユーザライブラリ224のユーザID情報を利用する。ユーザのIDが認証されると、ユーザは、ウェブサイトAの要求したリソースにアクセスすることが許可される。
The website A further includes an
ウェブサイトAは、データストレージ220に保存されたユーザIDマッピングデータ226をさらに有する。ユーザIDマッピングデータ226は、ウェブサイトAに関するユーザID情報とウェブサイトBに関するユーザID情報との間のマッピング関係を定義する。ユーザIDマッピングデータ226は、ウェブサイトAが、ウェブサイトAに関する同一ユーザのID情報から、ウェブサイトBに関するユーザのID情報を取得できるようにする。
Website A further includes user
ウェブサイトAは、ウェブサイトBに関するユーザID情報に添付される署名を生成するためのID署名ジェネレータ222をさらに有する。ID署名ジェネレータ222およびID認証デバイス221は、2つの別個のユニットまたは単一ユニットのいずれかに統合されてもよい。
Website A further includes an
またウェブサイトBは、データストレージ230に保存されるユーザライブラリ234のユーザID情報を使用して、ユーザIDを認証するためのID認証デバイス231も有する。ウェブサイトBは、ウェブサイトAから受信したユーザID情報に添付される署名を復号化するための署名認証デバイス232をさらに含む。ID認証デバイス231およびID署名認証デバイス232は、2つの個別ユニットまたは単一ユニットのいずれかに実装することができる。
The website B also has an ID authentication device 231 for authenticating the user ID using the user ID information of the
署名の復号化は、ウェブサイトAから受信したユーザIDの信頼性および完全性を検証するために使用される。ユーザのIDが認証された場合、ユーザは、ウェブサイトBの要求したリソースにアクセスすることを許可される場合がある。 Signature decryption is used to verify the authenticity and integrity of the user ID received from website A. If the user's ID is authenticated, the user may be allowed to access the requested resource of website B.
例示的なアプリケーションでは、ウェブサイトAおよびウェブサイトBは、電子商取引のためのパートナーシップを確立する。パートナーシップは、ウェブサイトAおよびウェブサイトBがユーザ情報を交換し、その結果、マッピングテーブル形式である場合がある、ユーザIDマッピングデータ226を回収することを可能にする。ユーザCは、ウェブサイトAおよびウェブサイトBの両方の顧客である。典型的に、ユーザCは、別々に、および独立して、ウェブサイトAおよびウェブサイトBの顧客になった可能性がある。同一ユーザCは、ウェブサイトAおよびウェブサイトBに関する異なるユーザID情報(例えば、異なるユーザ名またはパスワード)を有する場合がある。例えば、ウェブサイトAに関するユーザCのIDがCAであり、ウェブサイトBに関するユーザCのIDがCAである場合、ユーザIDマッピングデータ226(マッピングテーブルのような)は、CAとCBとの間のマッピング関係を、CA→CBとして示す入力を含み、ウェブサイトA上でのIDがCAであるユーザが、ウェブサイトB上でCBというIDを有することを意味する。適切に構築されている場合、ユーザIDマッピングデータ226は、ウェブサイトAがそれぞれのユーザを一意的に識別することを可能にし、ウェブサイトAに関する同一ユーザのID情報の認識に基づき、ウェブサイトBに関するそれぞれのユーザのID情報が特定できるようにする。
In the exemplary application, website A and website B establish a partnership for electronic commerce. The partnership allows website A and website B to exchange user information and thus retrieve user
一致したID情報は、ログオンユーザ名およびパスワードなどの属性を含む場合があるが、システム間で異なる追加属性を含む場合がある。さらに、ユーザIDの認証、およびユーザ権限の制御ならびに制限に使用される追加情報もユーザID情報に添付される場合がある。 The matched ID information may include attributes such as the logon user name and password, but may include additional attributes that differ between systems. Further, additional information used for user ID authentication and user authority control and restriction may be attached to the user ID information.
例示的なプロセスでは、ウェブサイトAは、ユーザCが、ユーザのブラウザ210を介してウェブサイトAにサインオンする際、ウェブサイトAに関するユーザCのID情報を取得する。IDマッピングデータ226を適切に使用することにより、ウェブサイトAは、ウェブサイトAに関する同一ユーザCのID情報から、ウェブサイトBに関するユーザCのID情報を取得する。その後、ウェブサイトAは、ウェブサイトBに関するユーザのID情報をウェブサイトBに送信する。ユーザのID情報を受信した上で、受信したID情報が満足できるものである場合、第2のシステムは、ユーザCが第2のシステムにサインオンすることを可能にすることができる。
In an exemplary process, website A obtains user C's ID information for website A when user C signs on website A via the user's
ウェブサイトAとウェブサイトBとの間で通信されるユーザID情報は、安全性を有するために、デジタル署名技術を使用して暗号化されてもよい。ウェブサイトAは、この目的のために、ID署名ジェネレータ222を有する。例えば、ユーザCがウェブサイトAに正常にサインオンした後、ウェブサイトAは、ウェブサイトAおよびウェブサイトBに関するユーザCのID情報をCAおよびCBとそれぞれ定義し、ID署名ジェネレータ222は、ウェブサイトBに送信する前に、ユーザID情報CBにデジタル署名する場合がある。いずれの適した暗号化技術を使用して、ユーザID情報CBにデジタル署名するための署名を生成してもよい。一般的に、署名アルゴリズムは、ウェブサイトAでの暗号化およびウェブサイトBでの復号化を調整するために、ウェブサイトAおよびウェブサイトBの両方で取り決める必要がある。適した署名アルゴリズムの一実施例は、公開鍵署名アルゴリズムであり、ウェブサイトAは、それを使用して、その秘密鍵を使用してユーザID情報に署名し、ウェブサイトBがウェブサイトAの秘密鍵と一致する公開鍵を使用して署名を復号化できるようにしてもよい。
User ID information communicated between website A and website B may be encrypted using digital signature technology to be secure. Website A has an
ウェブサイトAでID署名ジェネレータ222により生成されるデジタル署名は、第2のシステムに関するユーザのID情報CBに添付される。そしてデジタル署名およびID情報CBは、ウェブサイトBへのログオンを要求するために、両方ともウェブサイトBに送信される。
The digital signature generated by the
ウェブサイトBは、ウェブサイトAからログオン要求を受信し、ログオン要求が認証を必要とする署名を含むことを検出する。ウェブサイトBは、この目的のために、ID署名ベリファイア232を有する。ID署名ベリファイア232は、署名を復号化し、受信した署名およびユーザのID情報の信頼性ならびに完全性などの妥当性を検証する。署名およびユーザのID情報が妥当性テストに合格した場合、ウェブサイトBは、ウェブサイトAから送信されたID情報から、ユーザCのIDを判断する。ウェブサイトBは、CBをウェブサイトBに関するユーザCの有効なIDとして承認し、その結果、ユーザCに適切な役割およびセッションを確立する。
Website B receives a logon request from website A and detects that the logon request includes a signature that requires authentication. Website B has an
署名およびID情報が妥当性テストに不合格となった場合、ウェブサイトBは、ユーザCによるログオン要求を否認することになるであろう。場合によっては、署名およびID情報が妥当性テストに合格したとしても、特定のユーザIDであるCBは、ウェブサイトBで導入される特定の追加制限により、まだログオンを許可されない場合がある。例えば、特定のユーザIDであるCBは、失効している可能性があるか、または誤ったステータスを持つ、あるいはウェブサイトBに維持されるブラックリスト中に発見される。そのような状況下において、ウェブサイトBは、ユーザCのログオン要求を依然として否認することができる。 If the signature and ID information fails the validity test, website B will reject the logon request by user C. In some cases, even though the signature and ID information pass the validity test, a specific user ID, CB, may not yet be allowed to log on due to certain additional restrictions introduced at website B. For example, a specific user ID, CB, may be expired or has an incorrect status, or is found in a black list maintained at website B. Under such circumstances, website B may still deny user C's logon request.
ウェブサイトBは、ウェブサイトB上のリソースにアクセスする訪問者としてのユーザCに与えられる権限を制御するための権限コントローラ233をさらに有する。通常、特定のユーザIDを有するユーザは、ユーザIDが作成される際に定められる、権限の固有セットを有する。しかしながら、ユーザがログオンを要求する方法により、ユーザの権限をさらに制御することが望ましい場合がある。例えば、ウェブサイトBに直接ログオンするユーザは、固有の権限を与えられる一方、別のウェブサイト(例えば、本実施例のウェブサイトA)からリダイレクトされるユーザは、より少ない権限が与えられる場合がある。ログオンを要求しているユーザの固有の権限を判断するために、権限コントローラ233は、データストレージ230に保存されるユーザライブラリ234を調べてもよい。ユーザのログイン方法を判断するために、権限コントローラ233は、ウェブサイトAから送信されるログオン要求情報(署名およびユーザIDと共に含まれる)を調べてもよい。あるいは、権限コントローラ232は、ユーザのログオン方法の情報を含むウェブサイトBに記録されたセッション情報を調べてもよい。セッション情報は、通常、ユーザCがサインオンし、セッションを確立した後、ウェブサイトB上のログファイルに記録される。
Website B further includes an
例示的なアプリケーションでは、ウェブサイトAは、C2Cウェブサイトであり、ウェブサイトBは、支払いウェブサイトである。ユーザCがウェブサイトA(C2Cウェブサイト)で起動されるウェブサイトB(支払いウェブサイト)にサインオンする際、ユーザCは、現行のセッション中、ウェブサイトAに関連する支払い取引のみを行い、他のウェブサイトに関連する支払い取引を行わないように、権限コントローラ233がユーザCの現行のセッションの権限を制限してもよい。一般に、支払いウェブサイトは、C2Cウェブサイトより高度な安全性を有する。権限コントローラ233の使用は、安全性と便利性との適切なバランスを有する、よりよいパートナーシップを達成することを助長する。例えば、適切な権限制御により、C2Cウェブサイトに関するユーザID情報(ユーザ名、およびパスワードまたはセキュリティコードなど)が盗まれる、あるいは危険にさらされる場合でも、ユーザとC2Cウェブサイトとの間のトランザクションのみに影響する。
In the exemplary application, website A is a C2C website and website B is a payment website. When user C signs on to website B (payment website) launched at website A (C2C website), user C only conducts payment transactions related to website A during the current session, The
上記に示されるように、ウェブサイトAとウェブサイトBとの間のシングルサインオンは、ユーザIDマッピングデータにより可能となり、デジタルID署名技術により、さらに安全になる。デジタルID署名に使用される署名アルゴリズムは、本開示によるシングルサインオンに安全性を提供するための重要なコンポーネントである。好ましくは、署名アルゴリズムは、以下のセキュリティ要件の側面を満足するべきである。
(1)情報(ウェブサイトBに関するユーザID情報に署名される署名、およびその他の追加署名情報を含む)が確かにウェブサイトAから送信されたものであることを証明するための信頼性。
(2)ID情報が署名された後、署名およびID情報が不正者により改ざんされていないことを証明する完全性。
(3)ウェブサイトA以外、ウェブサイトBおよびいかなるその他の第3者を含む誰もが有効な署名をレコード上に作成することができないことを保証する、非否認。適切な非否認手段により、妥当性および安全性の疑問に議論が生じた場合、ウェブサイトAは、レコード上の署名の作成者であることを否定できない。
(4)ID署名が有効に使用されるのは、1回のみであることを保証する、リプレイ防止。1度使用されると、ID署名は、もはや有効ではなくなり、従って、再び使用することができない。これは、第3盗聴者がユーザID署名を盗み、署名を再適用してウェブサイトBへのログオンアクセスを手に入れることを防止する。
As indicated above, single sign-on between website A and website B is enabled by user ID mapping data and is further secured by digital ID signature technology. The signature algorithm used for digital ID signing is an important component to provide security for single sign-on according to the present disclosure. Preferably, the signature algorithm should satisfy the following security requirement aspects:
(1) Reliability for proving that the information (including the signature for signing the user ID information relating to the website B and other additional signature information) is indeed transmitted from the website A.
(2) Completeness to prove that the signature and the ID information have not been tampered with by an unauthorized person after the ID information is signed.
(3) Non-repudiation guaranteeing that no one other than Website A, including Website B and any other third party, can create a valid signature on the record. If appropriate non-repudiation means the validity and safety questions are discussed, website A cannot be denied to be the creator of the signature on the record.
(4) Prevention of replay, which ensures that the ID signature is used only once. Once used, the ID signature is no longer valid and therefore cannot be used again. This prevents the third eavesdropper from stealing the user ID signature and reapplying the signature to gain logon access to website B.
上記に記載の安全対策(信頼性、完全性、および非否認)を達成するためのある例示的な技術は、公開鍵デジタル署名アルゴリズムである。このアルゴリズムを使用するために、ウェブサイトAおよびウェブサイトBは、事前に公開鍵および秘密鍵の組を取り決める。秘密鍵は、ウェブサイトAによってウェブサイトBを含むその他のエンティティから隠されて保管される。秘密鍵と一致する公開鍵は、公開され、特にウェブサイトBに既知である。実際のアプリケーションでは、ウェブサイトAのID署名ジェネレータ222は、公開鍵デジタル署名アルゴリズムを適用し、秘密鍵を使用してウェブサイトBに関するユーザID情報に署名する。署名されたユーザIDの受信した上で、ウェブサイトBのID署名ベリファイア232は、同一の公開鍵デジタル署名アルゴリズムに従って、公開鍵を使用して受信した署名を復号化する。この暗号化−復号化手順は、ウェブサイトAにより署名されたID署名の信頼性および完全性を検証するための基盤を提供する。同時に、ウェブサイトBは、非否認手段を提供するために、セッションログの認証されたID署名を記録する。記録されたセッションログにより、議論が生じた際にウェブサイトAが記録されたID署名を実行したことを否認することを避けられる。
One exemplary technique for achieving the security measures described above (reliability, integrity, and non-repudiation) is a public key digital signature algorithm. In order to use this algorithm, website A and website B negotiate a set of public and private keys in advance. The private key is stored hidden from website A by other entities including website B. The public key that matches the private key is made public and is known in particular to website B. In an actual application, the
リプレイを防止するための1つの例示的な技術は、タイムスタンプの使用である。ウェブサイトAからウェブサイトBに通信されるユーザIDには、タイムスタンプが押され、またログオン要求には、ユーザIDにタイムスタンプが押されていること、および受信者であるシステムウェブサイトBによる確認および認証が必要であることを示す情報が含まれてもよい。好ましい実施形態では、タイムスタンプは、デジタル署名の署名手順における不可欠な部分として実装される。例えば、署名の作成に選択されるデジタル署名アルゴリズムは、ウェブサイトAで署名されるID情報にタイムスタンプが添付されていることを必要とし、タイムスタンプとID情報は、一緒に署名される場合がある。これは、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を保証する。ウェブサイトBにおいて、署名の復号化は、ID情報およびタイムスタンプ情報の両方の信頼性および完全性を同時に検証する。 One exemplary technique for preventing replay is the use of time stamps. The user ID communicated from the website A to the website B is stamped with a time stamp, and the logon request is stamped with the user ID and by the system website B that is the recipient. Information indicating that confirmation and authentication are required may be included. In a preferred embodiment, the time stamp is implemented as an integral part of the digital signature signature procedure. For example, a digital signature algorithm selected to create a signature may require that a time stamp be attached to the ID information signed at website A, and the time stamp and ID information may be signed together. is there. This ensures the reliability and integrity of both ID information and timestamp information. At website B, signature decryption simultaneously verifies the authenticity and integrity of both ID information and time stamp information.
タイムスタンプ情報は、様々な方法でリプレイ防止に使用されてもよい。以下は、2つの実施例である。 Time stamp information may be used to prevent replay in various ways. The following are two examples.
1.ウェブサイトBでは、ID署名ベリファイア232がウェブサイトAから受信したID署名を認証すると同時に、現行のID署名のタイムスタンプと、同一ユーザ(ユーザC)のウェブサイトAから送信された以前のID署名のタイムスタンプを比較する。同一ユーザによる継続的なログオン要求は、常に時間が増加するため、現行のタイムスタンプが以前のタイムスタンプより古いか、以前のタイムスタンプと同一であるかのいずれかの場合、リプレイの試みが検出される可能性がある。そのような検出を行った上で、ID署名認証は、失敗し、ウェブサイトBはユーザCによるアクセスを否認する。
1. At the website B, the
ユーザCが初めてウェブサイトBを訪問している場合、タイムスタンプは、以前のタイムスタンプと比較することなく承認される必要がある場合があるが、署名およびユーザID情報が初めて適用されるため、この特別な状況において、リプレイのリスクは無い。ユーザCが正真正銘の正当な繰り返し訪問を行っている場合、異なる、唯一の継続的なタイムスタンプを有する、現行の署名および以前の署名が別々に作成される。この技術を使用し、ユーザCが特定の署名で正真正銘の訪問を行った場合、同一署名は、事実上失効する。この技術では、ウェブサイトBが、タイムスタンプなどの追加添付情報を含む、すべてのログオン要求のログ記録を保持する必要がある。 If user C is visiting website B for the first time, the time stamp may need to be approved without comparing it to the previous time stamp, but because the signature and user ID information are applied for the first time, In this special situation, there is no risk of replay. If User C has a genuine and legitimate repeated visit, the current signature and the previous signature with different, unique and continuous timestamps are created separately. Using this technique, if user C makes a genuine visit with a particular signature, the same signature effectively expires. This technique requires website B to keep a log of all logon requests, including additional attachment information such as time stamps.
2.ウェブサイトAおよびウェブサイトBは、作成後の署名の妥当性の期限を取り決める。例えば、ウェブサイトAおよびウェブサイトBは、署名は、作成後1分間のみ有効であると取り決めてもよい。署名を受信した上で、ウェブサイトBは、署名のタイムスタンプと、現在の時間(実際の時刻)を比較して、署名がまだ有効であるかどうかを判断する。この技術を使用することで、署名が盗まれる、または漏れる、いかなる事象においても、その妥当性は1分間のみに制限される。従って、安全性侵害がもたらす結果は最小化される。実際には、ウェブサイトAが、署名されたユーザID情報の署名作成後、即座に送信することが望ましい場合がある。これは、1分間を大幅に下回る失効期限を取り決めることにより、可能となる場合がある。 2. Website A and website B negotiate a validity period for the signature after creation. For example, website A and website B may negotiate that the signature is valid for only one minute after creation. Upon receiving the signature, website B compares the signature timestamp with the current time (actual time) to determine whether the signature is still valid. Using this technique, the validity of any event where a signature is stolen or leaked is limited to only one minute. Thus, the consequences of security breaches are minimized. In practice, it may be desirable for website A to send immediately after creating a signed user ID information signature. This may be possible by negotiating an expiration date well below one minute.
タイムスタンプ情報を使用するための上記の2つの技術は、互いに排他的ではない。それらを、実践に組み合わせてもよい。例えば、第1の技術は、単独で使用される場合、ウェブサイトAで作成された署名が、ウェブサイトBに伝達される前に盗まれる、または漏れるという事象において、損なわれる場合がある。この場合、ウェブサイトBは、ユーザCのタイムスタンプの適切な記録を有さず、盗まれたまたは漏れた署名を所有する犯人がタイムスタンプテストに合格し得る。しかしながら、上記に記載される第1の技術と第2の技術の両方の組み合わせは、盗まれたまたは漏れた署名は、かなりの時間が経過するまで適用される可能性が低いため、問題が解決される可能性がある。 The above two techniques for using time stamp information are not mutually exclusive. They may be combined with practice. For example, the first technique, when used alone, may be compromised in the event that a signature created on website A is stolen or leaked before being transmitted to website B. In this case, website B does not have an appropriate record of user C's time stamp, and a criminal who owns a stolen or leaked signature may pass the time stamp test. However, the combination of both the first and second techniques described above solves the problem because a stolen or leaked signature is unlikely to be applied until a significant amount of time has passed. There is a possibility that.
署名の作成および認証に使用可能な署名アルゴリズムには、デジタル署名アルゴリズム(DSA)などの公開鍵署名アルゴリズムが挙げられるが、それに限定されない。様々な技術が使用可能であり、パートナーウェブサイトの必要性に最も適するものを選択してもよい。例えば、ウェブサイトAおよびウェブサイトBが十分な程度の相互信頼を有する場合、非否認のためのメカニズムは必要ない場合がある。この場合、ウェブサイトAは、ユーザID情報およびタイムスタンプ情報の暗号化に秘密鍵アルゴリズムを使用し、ウェブサイトBに暗号文(暗号テキスト文字列)を送信して、信頼性、完全性、およびリプレイ防止を保証する。 Signature algorithms that can be used for signature creation and authentication include, but are not limited to, public key signature algorithms such as a digital signature algorithm (DSA). Various technologies are available and the one that best suits the needs of the partner website may be selected. For example, if website A and website B have a sufficient degree of mutual trust, a mechanism for non-repudiation may not be necessary. In this case, the website A uses a secret key algorithm to encrypt the user ID information and the time stamp information, and sends a ciphertext (cipher text string) to the website B to obtain reliability, integrity, and Guarantees replay prevention.
あるいは、ID情報およびタイムスタンプ情報の署名に、ハッシュアルゴリズムSHAI(Secure Hash Algorism、version1.0)またはMD5(Message Digest、version5)、などのより単純なアルゴリズムを使用してもよい。ハッシュアルゴリズムにより選択され、両者(ウェブサイトAおよびウェブサイトB)で取り決めたシードを使用して、第3者がユーザID情報に有効な署名を作成することを防止してもよい。 Alternatively, a simpler algorithm such as a hash algorithm SHAI (Secure Hash Algorithm, version 1.0) or MD5 (Message Digest, version 5) may be used for signing ID information and time stamp information. A seed selected by a hash algorithm and negotiated by both (website A and website B) may be used to prevent a third party from creating a valid signature on the user ID information.
図3は、本開示による、例示的なシングルサインオンプロセスのフロー図を示す。プロセスは、ブロックのコレクションとして論理フローグラフに示され、ハードウェア、ソフトウェア、またはその組み合わせに実装可能な一連の動作を示す。ソフトウェアの文脈において、ブロックは、コンピュータ実行可能指示を示し、1つ以上のプロセッサで実行される場合、記載される動作を実行する。一般的に、コンピュータ実行可能指示は、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、特定の機能を実行する、または特定の抽象データ型を導入する。動作が記載される順序は、構文解析のための制限を意図するものではなく、ブロックに記載されるいずれの番号も、いずれの順序で組み合わせることが可能であり、かつ/または平行してプロセスに導入することができる。検討目的のために、図2のシステム200を参照してプロセスを記載する。
FIG. 3 shows a flow diagram of an exemplary single sign-on process according to this disclosure. A process is shown in the logical flow graph as a collection of blocks, indicating a series of operations that can be implemented in hardware, software, or a combination thereof. In the context of software, a block represents a computer-executable instruction that, when executed on one or more processors, performs the operations described. Generally, computer-executable instructions include routines, programs, objects, components, data structures, etc. that perform particular functions or introduce particular abstract data types. The order in which the actions are described is not intended to be a parsing limitation, and any number listed in the block can be combined in any order and / or in parallel with the process. Can be introduced. For discussion purposes, the process will be described with reference to the
本実施例では、ユーザは、最初にウェブサイトAにサインオンする。ウェブサイトAは、ウェブサイトBへの自動ログオンを達成するためのユーザID署名の作成プロセスを開始する。例示的なシングルサインオンプロセスを以下のブロックに記載する。 In this embodiment, the user first signs on to the website A. Website A initiates the process of creating a user ID signature to achieve automatic logon to website B. An exemplary single sign-on process is described in the following blocks.
ブロック300では、ユーザCは、ウェブサイトAにログオンすることを要求し、ID認証のためのID情報(ユーザ名およびパスワードなど)を入力する。
In
ブロック301では、ウェブサイトAのID認証デバイス221がデータストレージ220に保存されるユーザライブラリ224からユーザID情報を読み出し、ユーザCにより提供されるユーザID情報を認証する。
In
ブロック302では、ユーザID認証が成功した上で、ユーザCがウェブサイトAのリソースにアクセスすることを許可される。
In
ブロック303では、ウェブサイトAがウェブサイトBに関するユーザCのID情報を判断し、ユーザID情報に基づき、ユーザID署名を生成する。場合によっては、ユーザCのID情報が判断され、署名される前に、ウェブサイトAが、ユーザCがウェブサイトBでサインオンしているかを検出することを可能にするメカニズムが採用されてもよい。これは、自動的に行われるか、またはユーザCにより明確に指示された上で行われる。例えば、ウェブサイトAは、ユーザCがウェブサイトBからのサービスまたはサポートを必要とするウェブサイトAのリソースを要求した場合に、ユーザCがウェブサイトBにサインオンしようとしていることを自動的に検出してもよい。
In
ウェブサイトBに関するユーザCのID情報は、データストレージ220に保存されるIDマッピングデータ226を使用して、ウェブサイトAで判断される。例えば、ユーザIDマッピングデータ226がウェブサイトA/ウェブサイトB(A/B)マッピングテーブルを含む場合、ID署名ジェネレータ222は、ウェブサイトBに関するユーザCのID情報を、マッピングテーブルを読み込むことによって取得してもよい。そしてID署名ジェネレータ222は、取り決められた署名アルゴリズムを使用して、ウェブサイトBに関するユーザCのID情報、およびその他の追加情報(タイムスタンプ情報など)に署名する。ID署名ジェネレータ222は、ウェブサイトBへのログオン要求にID署名をさらに添付する。
The ID information of user C regarding website B is determined at website A using
ブロック304では、ウェブサイトAは、ユーザID署名を含むログオン要求をウェブサイトBに誘導する。ログオン要求では、ウェブサイトAはさらに、ユーザCにウェブサイトAから来ているというラベルを付けてもよい。そのようなラベリングは、異なるサブドメイン名または追加添付パラメータのような形であってもよい。
At
ブロック305では、ウェブサイトBは、ウェブサイトAから受信したユーザID署名が有効であるかを判断する。これは、取り決められた署名アルゴリズムを使用して署名を復号化する、ID署名ベリファイア232によって行われる。ユーザID署名が無効な場合、ウェブサイトBは、ユーザCのログオン要求を否認する。ユーザID署名が有効な場合、プロセスは次のステップ306に進む。
In
ブロック306では、ウェブサイトAからのユーザID署名が有効であると判断されたことにより、ウェブサイトBは、ユーザCが信頼できるウェブサイトAにすでにサインオンしており、従って、ウェブサイトBにログオンするための許可も与えられるべきであると判断する。従って、ウェブサイトBは、ユーザCのセッションを確立し、ユーザCがウェブサイトBの要求するリソースにアクセスすることを許可する。セッションは、ウェブサイトAから受信したユーザID情報から識別される、ウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、今後のログオン要求のタイムスタンプの比較など、その他の目的のために使用される場合がある、ユーザID署名をセッションログに記録してもよい。
At
ブロック307では、ウェブサイトBは、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。これは、権限コントローラ233によって行われる。特定のユーザCは、特定の要求されるリソースにアクセスする権限を有さないことが発見された場合、ウェブサイトBは、ユーザCのユーザIDが有効であるにも関わらず、ユーザCの要求を否認する。特定のユーザCが特定の要求するリソースにアクセスする権限を有することが発見された場合、ウェブサイトは該アクセスを許可する。
In
上記のステップは、同一または同様の目的を達成するために、より少ないステップに一体化されてもよく、またはより多くのステップに拡張されてもよいことが理解される。例えば、ステップ306およびステップ307は、単一ステップとして同時に実行されてもよい。
It is understood that the above steps may be integrated into fewer steps or expanded to more steps to achieve the same or similar objectives. For example,
上記に記載のシングルサインオンプロセスは、同一ユーザCによる複数の要求または複数のトランザクションに関係する、閉じていないセッションに対して、1回のみ実行される場合がある。1度ユーザCとウェブサイトBが有効なセッションを確立すると、ユーザCはセッションを継続することを選択し、ウェブサイトAに戻り、上記に記載のシングルサインオンプロセスを繰り返すことなく、ウェブサイトBの認可されたリソースに直接アクセスしてもよい。継続的なセッションには、最初にアクセスしたリソースへの繰り返しアクセス、またはその他の認可されたリソースへの新しいアクセスが含まれてもよい。 The single sign-on process described above may be performed only once for an unclosed session that involves multiple requests or multiple transactions by the same user C. Once user C and website B have established a valid session, user C chooses to continue the session, returns to website A, and without repeating the single sign-on process described above, website B You may access the authorized resources directly. A continuous session may include repeated access to the originally accessed resource or new access to other authorized resources.
上記の例示的な実施形態では、ウェブサイトAが署名プロセスを開始する。署名は、ユーザCがウェブサイトBへのログオンを要求する度に生成される必要は無いことに留意されたい。本開示による方法は、ウェブサイトAは、新しい署名が必要な場合にのみ、ユーザID情報に署名するように要求されるように設定されていてもよい。例えば、ユーザCがウェブサイトAからウェブサイトBを訪問しようとする度に、ウェブサイトAが独自の署名プロセスを開始する代わりに、ウェブサイトBが署名されたユーザID情報の送信要求を受信した場合にのみ、ウェブサイトAがこのアクションを行ってもよい。この設計は、不必要な繰り返し、および署名作成ならびに認証の余剰を回避する。署名アルゴリズムの実行は、相当な量のコンピュータ資源を使用するため、そのような実行を削減することは、相当な量の運営費用を節約する可能性がある。さらに、署名作成および認証の発生率がより少ないことにより、保持する記録および署名が漏れるリスクが低くなるという結果がもたらされる。 In the exemplary embodiment above, website A initiates the signing process. Note that the signature need not be generated every time user C requests to log on to website B. The method according to the present disclosure may be configured such that website A is required to sign user ID information only when a new signature is required. For example, every time user C tries to visit website B from website A, instead of website A starting its own signature process, website B receives a request to send signed user ID information Only in this case may website A perform this action. This design avoids unnecessary repetition and redundant signature creation and authentication. Since the execution of the signature algorithm uses a considerable amount of computer resources, reducing such execution can save a significant amount of operating costs. Furthermore, the lower incidence of signature creation and authentication results in a lower risk of leaking recorded records and signatures.
図4は、例示的なシングルサインオンプロセスを示すフロー図であり、ウェブサイトBは、いつウェブサイトAにユーザID情報に署名するように要求するか決定する。例示的なプロセスを以下のブロックに記載する。 FIG. 4 is a flow diagram illustrating an exemplary single sign-on process, where website B determines when website A requests to sign user ID information. An exemplary process is described in the following blocks.
ブロック400では、ユーザCがウェブサイトBにログオンし、特定のリソースにアクセスすることを要求する。これは、ユーザCにより、ウェブサイトBで直接開始されてもよいが、ウェブサイトAがC2Cサイトである一方、ウェブサイトBは、支払いサイトである、示される実施例においては、サインオンするための要求は、ウェブサイトAからウェブサイトBに向けられる可能性が高い。この場合、ログオン要求は、ウェブサイトAから来ているものとして、ユーザCを識別してもよい。そのような識別表示は、ログオン要求情報内に、異なるサブドメイン名、または追加添付パラメータのいずれかを含んでもよい。
In
ブロック401では、ウェブサイトBは、ユーザCがすでにウェブサイトBにサインオンしているかどうかを、シングルサインオンプロセスを介して、ウェブサイトから直接的または間接的に判断する。ユーザCがすでにウェブサイトBにサインオンしている場合、プロセスは、署名作成および認証ステップを省略し、ウェブサイトBが要求するリソースへのアクセスに関するユーザCの権限を判断する、ステップ407に跳ぶ。ユーザCがウェブサイトBにまだサインオンしていない場合、プロセスは、ステップ402に進む。
In
ブロック402では、ウェブサイトBは、ユーザCのログオン要求をウェブサイトAにリダイレクトする。要求は、ウェブサイトAがウェブサイトBにユーザCのID情報を送信するための要求を識別するパラメータを含む。ID情報が署名により保護される場合、要求は、ウェブサイトAがウェブサイトBに送信されるID情報に安全に署名するための要求を識別するパラメータを含む。必要に応じて、要求はまた、ユーザCがアクセスを要求しているウェブサイトBの特定のリソースを識別してもよい。
In
ブロック403では、ウェブサイトAのID署名ジェネレータ222がユーザIDマッピングデータ226からユーザCのウェブサイトBに関するユーザID情報を読み出し、ウェブサイトAおよびウェブサイトBに取り決められた署名アルゴリズムを使用してユーザID情報からユーザID署名を生成する。またユーザID署名は、タイムスタンプ情報などの追加情報もカバーする。好ましくは、ウェブサイトAは、ステップ403の最初の時点で、ユーザCがすでにウェブサイトAにサインオンしているかを確認してもよい。ユーザCがウェブサイトAにまだサインオンしていない場合、ウェブサイトAは、通常、ステップ403を実行する前に、最初にユーザCにウェブサイトAにサインオンするよう要求するべきである。この場合、通常のログオンプロセスは、ID認証デバイス221によりユーザ名およびパスワードが確認され、認証されてから行われる場合がある。
In
ブロック404では、ウェブサイトAは新しく作成されたユーザID署名をログオン要求に添付し、ユーザID署名を含むログオン要求をウェブサイトBにリダイレクトする。
In
ブロック405では、ウェブサイトBのID署名ベリファイア232が、ウェブサイトAおよびウェブサイトBによって取り決められた署名アルゴリズムを使用して復号化することによって、ID署名の妥当性を検証する。ID署名が無効な場合、ウェブサイトBは、ユーザCの要求されたリソースへのアクセスを否認する。ID署名が有効な場合、プロセスは、ステップ406に進む。
At
ブロック406では、ウェブサイトAからのユーザID署名が有効であることが判断されたことにより、ウェブサイトBは、ユーザCがすでに信頼されるウェブサイトAにサインオンしていると判断し、ユーザCがウェブサイトBの要求するリソースにアクセスできるように、ユーザCのセッションを確立する。セッションは、ウェブサイトAから受信するウェブサイトBに関するユーザID情報に従って確立される。ウェブサイトBはさらに、ユーザID署名をセッションログに記録し、今後のログオン要求のタイムスタンプ比較など、その他の目的に使用してもよい。
In
ブロック407では、ウェブサイトBの権限コントローラ233は、ユーザCのステータスを確認し、確立されたセッションに対するその権限を判断する。ユーザCが特定の要求されたリソースにアクセスする権限を持たないことが発見された場合、ウェブサイトBは、ユーザCの要求を否認する。ユーザCが要求されるリソースにアクセスする権限を有することが発見された場合、ウェブサイトBは、該アクセスを許可する。
At
上記技術は、コンピュータ実行可能指示を含む、コンピュータ可読媒体を1つ以上用いて実装してもよい。コンピュータ実行可能指示は、プロセッサが本明細記載の技術による、システム間シングルサインオン(SSO)手順を実行できるようにする。コンピュータ可読媒体は、コンピュータデータを保存するためのいずれの適したメモリデバイスであってもよいことが理解される。そのようなメモリデバイスには、ハードディスク、フラッシュメモリデバイス、光学データストレージ、およびフロッピー(登録商標)ディスクが挙げられるが、それらに限定されない。さらに、コンピュータ実行可能指示を含むコンピュータ可読媒体は、ローカルシステムのコンポーネント、または複数のリモートシステム上に分散するコンポーネントで構成されてもよい。コンピュータ事後完了指示のデータは、有形である物理メモリデバイスに伝達されるか、または電子的に伝送されてもよい。 The above techniques may be implemented using one or more computer readable media containing computer executable instructions. The computer executable instructions enable the processor to perform an intersystem single sign-on (SSO) procedure according to the techniques described herein. It will be appreciated that the computer-readable medium may be any suitable memory device for storing computer data. Such memory devices include, but are not limited to, hard disks, flash memory devices, optical data storage, and floppy disks. Further, a computer readable medium containing computer-executable instructions may be comprised of components of a local system or components distributed over multiple remote systems. Computer post-completion indication data may be transmitted to a physical memory device that is tangible or may be transmitted electronically.
本明細書に示されるように、本開示は、システム間ユーザIDマッピング概念を導入することによって、シングルサインオンのための分散モデルを提案する。分散モデルは、シングルサインオン方法の従来の集中モデルに固有である、いくつかの管理リスクおよび技術的リスクを回避する。パートナーシステム(例えば、例示的な実施形態のウェブサイトAおよびウェブサイトB)は、それらの独立性を保つ一方、パートナーシステム間のユーザIDマッピングコンポーネントは、柔軟であり、その時点での実際の必要性に応じて、構築、修正、または取り外すことができる。 As shown herein, this disclosure proposes a distributed model for single sign-on by introducing an inter-system user ID mapping concept. The distributed model avoids some administrative and technical risks inherent in the traditional centralized model of single sign-on methods. While partner systems (eg, website A and website B in the exemplary embodiment) retain their independence, the user ID mapping component between partner systems is flexible and the actual needs at that time Depending on the gender, it can be built, modified, or removed.
分散モデルにより、ID署名ジェネレータおよびID署名ベリファイアは、集中ユーザID認証システムを使用することなく、相互に信頼されるシステム間(例えば、相互間ウェブサイト)シングルサインオンメカニズムを確立し、従って、集中ユーザID認証システムにより引き起こされる、可能性のある性能ボトルネックおよび単一障害点問題を回避する。本開示によるID署名ジェネレータおよびID署名ベリファイアは、既存のウェブサイトの単純な拡張である。集中ID認証システムと比較し、本開示に記載される技術は、既存のウェブサイトの元のID認証システムの大幅な修正を必要としない。これは、従来のシングルサインオン方法の高運営費用および高リスクの問題を軽減することを助長する。また安全対策も、既存のシステムの単純な拡張である。シングルサインオンプロセスの信頼性、完全性、非否認、およびリプレイ防止を保証する者が、適した署名アルゴリズムを手軽に選択し、実装してもよい。安全性のレベルは、電子商取引を実施するウェブサイトの厳しいセキュリティ要件のほとんどを満足することができる。本開示によるシングルサインオン手順は、署名生成および認証を最小化するために、最適化し、その結果として、速度および便利性の設計目的を達成してもよい。 With a distributed model, the ID signature generator and ID signature verifier establish a mutually trusted system (eg, inter-website) single sign-on mechanism without using a centralized user ID authentication system, and thus Avoid potential performance bottlenecks and single points of failure caused by centralized user ID authentication systems. The ID signature generator and ID signature verifier according to the present disclosure is a simple extension of an existing website. Compared to a centralized ID authentication system, the technique described in this disclosure does not require significant modification of the original ID authentication system of an existing website. This helps mitigate the high operating cost and high risk problems of traditional single sign-on methods. Safety measures are also a simple extension of existing systems. A person who ensures the reliability, integrity, non-repudiation, and replay prevention of the single sign-on process may easily select and implement a suitable signature algorithm. The level of safety can meet most of the stringent security requirements of websites that conduct electronic commerce. The single sign-on procedure according to the present disclosure may be optimized to minimize signature generation and authentication, and as a result, achieve speed and convenience design objectives.
例示的な実施形態は、2つのパートナーウェブサイトであるウェブサイトAおよびウェブサイトBを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されないことが理解される。例えば、ウェブサイトBとのウェブサイトA/BのユーザIDマッピングテーブルの確立に加え、ウェブサイトAは、ウェブサイトCとウェブサイトA/CのユーザIDマッピングテーブルを確立してもよい。同様に、またウェブサイトBは、ウェブサイトCとウェブサイトB/CのユーザIDマッピングテーブルを確立してもよい。すなわち、ウェブサイトCは、複数のウェブサイトとパートナー関係を確立してもよい。さらに、ウェブサイトBは、ウェブサイトB/AのユーザIDマッピングテーブルも確立し、本明細書に記載されるようなウェブサイトA/BのユーザIDマッピングテーブルを使用して実行されるトランザクションと逆のトランザクションを実行してもよい。実装の複雑性および関係者の数に関係なく、ユーザIDマッピングテーブルを確立した2つのウェブサイトは、本明細書に記載されるものと同一の方法でトランザクションを実行してもよい。 Although the exemplary embodiment is illustrated using two partner websites, website A and website B, it is understood that the techniques described in this disclosure are not limited to this type of application. For example, in addition to establishing a user ID mapping table for website A / B with website B, website A may establish a user ID mapping table for website C and website A / C. Similarly, website B may establish a user ID mapping table for website C and website B / C. That is, the website C may establish a partner relationship with a plurality of websites. In addition, website B also establishes a user ID mapping table for website B / A, which is the opposite of the transaction performed using website A / B's user ID mapping table as described herein. This transaction may be executed. Regardless of the complexity of the implementation and the number of parties, the two websites that established the user ID mapping table may perform transactions in the same manner as described herein.
さらに、例示的な実施形態は、電子商取引の文脈でウェブサイトを用いて示されるが、本開示に記載される技術は、この種類のアプリケーションに限定されない。技術は、パートナーシステムの少なくとも一方がシステム内のリソースにアクセスするためにユーザID認証を必要とするインスタントメッセージシステムなど、いずれのネットワークシステムおよび通信システムに適用されてもよい。 Further, although exemplary embodiments are shown using a website in the context of electronic commerce, the techniques described in this disclosure are not limited to this type of application. The technology may be applied to any network system and communication system, such as an instant messaging system where user ID authentication is required for at least one of the partner systems to access resources in the system.
「ユーザID署名」という用語は、本明細書で使用される際、特定のユーザID情報に署名された、または添付された署名を指し、該署名がユーザIDの所有者によって署名されたことを意味しないことに留意されたい。本明細書に記載される例示的な実施形態では、例えば、ユーザ自身がユーザのID情報に署名する代わりに、第1のシステム(例えば、ウェブサイトA)がユーザ(ユーザC)のユーザID情報に署名することが好ましい。 The term “user ID signature” as used herein refers to a signature that is signed or attached to specific user ID information, and that the signature has been signed by the owner of the user ID. Note that it doesn't mean. In the exemplary embodiments described herein, for example, instead of the user himself signing the user's ID information, the first system (eg, website A) is the user ID information of the user (user C). It is preferable to sign.
明細書および図面を含む上記の説明は、例証的なものであり、制限的なものではない。本開示を検証することによって、当技術分野に精通する者により、多くの多様な技術が明らかとなるであろう。上記に記載の開示の様々な特徴および側面は、別個または共同で使用されてもよい。さらに、本開示は、本明細書の最も広義の精神および範囲から逸脱することなく、これら本明細書に記載するものを超えて、いずれの数の環境およびアプリケーションにおいても利用することができる。従って、本開示の範囲は、上記説明を参照して判断されるべきではなく、代わりに、それらの同等物の全範囲に加えて、添付の特許請求の範囲を参照して判断されるべきである。 The above description, including the specification and drawings, is illustrative and not restrictive. By examining this disclosure, many different techniques will become apparent to those skilled in the art. Various features and aspects of the disclosure set forth above may be used separately or jointly. Further, the present disclosure may be utilized in any number of environments and applications beyond those described herein without departing from the broadest spirit and scope of the present specification. Accordingly, the scope of the present disclosure should not be determined with reference to the above description, but instead should be determined with reference to the appended claims, along with their full scope of equivalents. is there.
Claims (17)
第1のサービスのための要求を受信するステップであって、前記要求は、前記第2のサービスに関連付けられたユーザIDを含み、前記ユーザID情報は、ユーザの認証情報を含む、受信するステップと、
前記第1のサービス及び前記第2のサービスに関連付けられた前記ユーザID情報とユーザIDマッピングデータに基づき、前記要求を検証するステップであって、前記ユーザIDマッピングデータは、前記ユーザのためのユーザ情報属性と、特権属性とを含み、前記ユーザ情報属性は、前記第1のサービスと前記第2のサービスに関連付けられたアカウント情報を含み、前記特権属性は、前記ユーザの前記第1のサービスに関連付けられたユーザID情報を使用して確立されたセッション間の前記第1のサービスにアクセスする前記ユーザの第1のリソースアクセス特権を示す、検証するステップと、
前記検証に応答して、1つのセッション間の前記第1のサービスにアクセスするための前記ユーザにアサインされた第2のリソースアクセス特権に基づき、前記第1のサービスにアクセスするために、前記ユーザに関連付けられるコンピューティングデバイスのための前記1つのセッションを確立するステップであって、前記第1のリソースアクセス特権は、前記第2のリソースアクセス特権より高い、ステップと、
を含むことを特徴とする方法。 Under the control of one or more computing devices comprising one or more processors,
Receiving a request for a first service, wherein the request includes a user ID associated with the second service, and wherein the user ID information includes user authentication information; When,
Verifying the request based on the user ID information and user ID mapping data associated with the first service and the second service, wherein the user ID mapping data is a user for the user; An information attribute and a privilege attribute, wherein the user information attribute includes account information associated with the first service and the second service, and the privilege attribute is assigned to the first service of the user. Verifying indicating a first resource access privilege of the user to access the first service between sessions established using associated user ID information;
In response to the verification, the user to access the first service based on a second resource access privilege assigned to the user to access the first service during a session Establishing the one session for a computing device associated with the first resource access privilege is higher than the second resource access privilege;
A method comprising the steps of:
前記第2のサービスは、取引の消費者対消費者(C2C)サービスを含み、前記第2のリソースアクセス権限は、前記1つのセッション間の前記取引の前記支払いを前記ユーザに制限することを特徴とする請求項1に記載の方法。 The first service includes payment of a transaction;
The second service includes a consumer-to-consumer (C2C) service of a transaction, and the second resource access authority restricts the payment of the transaction between the one session to the user. The method according to claim 1.
前記ユーザに前記取引に関連付けられた前記第1のサービスの1つまたは複数のアクセスすることを可能とするステップを含むことを特徴とする請求項3に記載の方法。 Allowing the user to access the first service comprises:
The method of claim 3, comprising allowing the user to access one or more of the first services associated with the transaction.
前記ユーザID情報に関連付けられたユーザに、前記署名の認証後に前記第1のサービスにアクセスすることを可能とさせるステップと
をさらに含むことを特徴とする請求項5に記載の方法。 Authenticating the signature by comparing the time stamp of the user's previous signature with the time stamp of the signature;
6. The method of claim 5, further comprising: allowing a user associated with the user ID information to access the first service after authenticating the signature.
前記第1のサービスのための要求を受信するステップであって、前記要求は、第2のサービスに関連付けられた、署名とユーザID情報を含み、前記第1のサービスと前記第2のサービスは、電子商取引のためのパートナーシップを有する、ステップと、
前記第1のサービスと前記第2のサービスに関連付けられた前記ユーザID情報及びユーザIDマッピングデータに基づいて前記要求を検証するステップと、
前記ユーザID情報に基づいて、前記第1のサービスにアクセスするためのリソースアクセス特権をアサインするステップと、
前記署名のタイムスタンプと、前記ユーザの以前の署名のタイムスタンプとを比較することにより、署名を認証するステップと、
前記リソースアクセス特権に基づいて、前記ユーザID情報に関連付けられたユーザに前記第1のサービスにアクセスすることを許容するステップと、
を含むことを特徴とするコンピュータ可読記録媒体。 One or more persistent computer-readable storage media storing computer-executable instructions that, when executed by one or more processors, perform the following operations, comprising:
Receiving a request for the first service, the request including a signature and user ID information associated with a second service, wherein the first service and the second service are Having a partnership for e-commerce, steps;
Verifying the request based on the user ID information and user ID mapping data associated with the first service and the second service;
Assigning resource access privileges for accessing the first service based on the user ID information;
Authenticating the signature by comparing the timestamp of the signature with the timestamp of the previous signature of the user;
Allowing a user associated with the user ID information to access the first service based on the resource access privilege;
A computer-readable recording medium comprising:
前記追加のユーザIDに基づき、前記第1のサービスにアクセスするために、前記リソースアクセス特権より高い追加のリソースアクセス特権を割り振るステップと
を含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。 Receiving an additional request including an additional user ID associated with the first server for the first service by the server;
9. The computer readable record of claim 8, comprising: allocating an additional resource access privilege higher than the resource access privilege to access the first service based on the additional user ID. Medium.
前記第2のサービスは、取引の消費者対消費者(C2C)サービスを含むことを特徴とする請求項7に記載のコンピュータ可読記録媒体。 The first service is associated with payment of a transaction;
The computer-readable medium of claim 7, wherein the second service comprises a consumer-to-consumer (C2C) service for trading.
前記1つまたは複数のプロセッサにより実行可能な複数のコンポーネントを維持するメモリと、前記複数のコンポーネントは、
ID認証ユニットであって、
第1のサービスのための要求を受信するステップであって、前記要求は、第2のサービスに関連付けられた署名と前記ユーザID情報を含み、前記第1のサービスと前記第2のサービスは、電子商取引のためのパートナーシップを有する、ステップと
前記第1のサービスと前記第2のサービスに関連づけられた前記ユーザID情報とユーザIDマッピングデータに基づいて、前記要求を認証するステップと、
前記ユーザID情報に基づいて前記第1のサービスにアクセスするためのリソースアクセス特権を割り振る特権コントローラと、
ID署名ベリファイアは、
前記署名のタイムスタンプと、前記ユーザの以前の署名のタイムスタンプとを比較することにより、前記署名を認証するステップと、
前記ユーザID情報と関連付けられたユーザに前記リソースアクセス特権に基づいて、前記第1のサービスを許容するステップとを含む
ことを特徴とする方法。 One or more processors;
A memory that maintains a plurality of components executable by the one or more processors, and the plurality of components comprises:
An ID authentication unit,
Receiving a request for a first service, the request including a signature associated with a second service and the user ID information, wherein the first service and the second service are: Having a partnership for electronic commerce; authenticating the request based on the user ID information and user ID mapping data associated with the first service and the second service;
A privilege controller for allocating resource access privileges for accessing the first service based on the user ID information;
ID signature verifier
Authenticating the signature by comparing the time stamp of the signature with the time stamp of the user's previous signature;
Allowing the first service to the user associated with the user ID information based on the resource access privilege.
前記第2のサービスは、前記取引の消費者対消費者(C2C)サービスに関連付けられることを特徴とする請求項13に記載の方法。 The first service is associated with payment of a transaction;
14. The method of claim 13, wherein the second service is associated with a consumer-to-consumer (C2C) service for the transaction.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610065558.3 | 2006-03-22 | ||
CN2006100655583A CN1835438B (en) | 2006-03-22 | 2006-03-22 | Method of realizing single time accession between websites and website thereof |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009501014A Division JP2009541817A (en) | 2006-03-22 | 2007-03-22 | Single sign-on between systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013152757A true JP2013152757A (en) | 2013-08-08 |
JP5695120B2 JP5695120B2 (en) | 2015-04-01 |
Family
ID=37003055
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009501014A Pending JP2009541817A (en) | 2006-03-22 | 2007-03-22 | Single sign-on between systems |
JP2013094691A Active JP5695120B2 (en) | 2006-03-22 | 2013-04-26 | Single sign-on between systems |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009501014A Pending JP2009541817A (en) | 2006-03-22 | 2007-03-22 | Single sign-on between systems |
Country Status (6)
Country | Link |
---|---|
US (2) | US8250095B2 (en) |
EP (1) | EP1997271B1 (en) |
JP (2) | JP2009541817A (en) |
CN (1) | CN1835438B (en) |
HK (1) | HK1096790A1 (en) |
WO (1) | WO2007107969A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5724017B1 (en) * | 2014-05-29 | 2015-05-27 | 周 志偉Zhou Zhi Wei | Authentication linkage system for multiple computer systems |
US10476733B2 (en) | 2015-04-15 | 2019-11-12 | Hitachi Systems, Ltd. | Single sign-on system and single sign-on method |
Families Citing this family (104)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9710852B1 (en) | 2002-05-30 | 2017-07-18 | Consumerinfo.Com, Inc. | Credit report timeline user interface |
US9400589B1 (en) | 2002-05-30 | 2016-07-26 | Consumerinfo.Com, Inc. | Circular rotational interface for display of consumer credit information |
CN1835438B (en) | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | Method of realizing single time accession between websites and website thereof |
US8996857B1 (en) * | 2006-06-05 | 2015-03-31 | Thomson Financial Llc | Single sign-on method in multi-application framework |
US8356333B2 (en) * | 2006-12-12 | 2013-01-15 | Bespoke Innovations Sarl | System and method for verifying networked sites |
US20090077638A1 (en) * | 2007-09-17 | 2009-03-19 | Novell, Inc. | Setting and synching preferred credentials in a disparate credential store environment |
CN101159557B (en) * | 2007-11-21 | 2010-09-29 | 华为技术有限公司 | Single point logging method, device and system |
US9990674B1 (en) | 2007-12-14 | 2018-06-05 | Consumerinfo.Com, Inc. | Card registry systems and methods |
US8127986B1 (en) | 2007-12-14 | 2012-03-06 | Consumerinfo.Com, Inc. | Card registry systems and methods |
US20090163200A1 (en) * | 2007-12-20 | 2009-06-25 | Nokia Corporation | Mobile device supporting walkaway conversation establishment |
CN101599832B (en) * | 2008-06-05 | 2011-06-15 | 北京思创银联科技股份有限公司 | Method and system of authenticating personal identity for logging in a network system |
US8312033B1 (en) | 2008-06-26 | 2012-11-13 | Experian Marketing Solutions, Inc. | Systems and methods for providing an integrated identifier |
US9256904B1 (en) | 2008-08-14 | 2016-02-09 | Experian Information Solutions, Inc. | Multi-bureau credit file freeze and unfreeze |
US8763102B2 (en) * | 2008-09-19 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Single sign on infrastructure |
US8060424B2 (en) | 2008-11-05 | 2011-11-15 | Consumerinfo.Com, Inc. | On-line method and system for monitoring and reporting unused available credit |
US20100125738A1 (en) * | 2008-11-14 | 2010-05-20 | Industrial Technology Research Institute | Systems and methods for transferring information |
CN101510877B (en) * | 2009-02-25 | 2012-05-23 | 中国联合网络通信集团有限公司 | Single-point logging-on method and system, communication apparatus |
CN101610157B (en) * | 2009-07-28 | 2012-09-05 | 江苏先安科技有限公司 | System and method for automatically signing with digital certificate in Web form |
CN102082775A (en) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团公司 | Method, device and system for managing subscriber identity |
US9043306B2 (en) * | 2010-08-23 | 2015-05-26 | Microsoft Technology Licensing, Llc | Content signature notification |
WO2012065128A1 (en) * | 2010-11-11 | 2012-05-18 | Ebay Inc. | Quick payment using mobile device binding |
US8484186B1 (en) | 2010-11-12 | 2013-07-09 | Consumerinfo.Com, Inc. | Personalized people finder |
US9147042B1 (en) | 2010-11-22 | 2015-09-29 | Experian Information Solutions, Inc. | Systems and methods for data verification |
JP5734087B2 (en) * | 2011-05-18 | 2015-06-10 | キヤノン株式会社 | Information processing system, control method for controlling the information processing system, and program thereof |
JP5595333B2 (en) * | 2011-06-03 | 2014-09-24 | 日本電信電話株式会社 | User identifier conversion system and conversion method |
US9607336B1 (en) | 2011-06-16 | 2017-03-28 | Consumerinfo.Com, Inc. | Providing credit inquiry alerts |
US8819425B2 (en) * | 2011-06-30 | 2014-08-26 | True[X] Media Inc. | Privacy protected interactions with third parties |
US9483606B1 (en) | 2011-07-08 | 2016-11-01 | Consumerinfo.Com, Inc. | Lifescore |
CN102890685B (en) * | 2011-07-21 | 2015-09-23 | 阿里巴巴集团控股有限公司 | The method and apparatus that a kind of information is redirected |
JP5568067B2 (en) * | 2011-09-13 | 2014-08-06 | 株式会社日立製作所 | Inter-system cooperation device in distributed systems |
US9106691B1 (en) | 2011-09-16 | 2015-08-11 | Consumerinfo.Com, Inc. | Systems and methods of identity protection and management |
CN103001936B (en) * | 2011-09-16 | 2016-05-25 | 北京新媒传信科技有限公司 | A kind of third party's application interface authorization method and system |
US8738516B1 (en) | 2011-10-13 | 2014-05-27 | Consumerinfo.Com, Inc. | Debt services candidate locator |
CN103188208B (en) * | 2011-12-27 | 2018-03-20 | 腾讯科技(北京)有限公司 | Authority control method, system and the call center of web page access |
US9326140B2 (en) * | 2012-01-31 | 2016-04-26 | Oracle International Corporation | Method and system for implementing an advanced mobile authentication solution |
US9853959B1 (en) | 2012-05-07 | 2017-12-26 | Consumerinfo.Com, Inc. | Storage and maintenance of personal data |
US10204343B2 (en) * | 2012-05-18 | 2019-02-12 | [24]7.ai, Inc. | Multi-channel customer identification |
JP5988699B2 (en) * | 2012-05-30 | 2016-09-07 | キヤノン株式会社 | Cooperation system, its cooperation method, information processing system, and its program. |
KR101329007B1 (en) * | 2012-05-31 | 2013-11-12 | 삼성에스디에스 주식회사 | Apparatus and method for generating secret key for encryption system based on id and recording medium storing program for executing method of the same in computer |
JP5955106B2 (en) * | 2012-06-01 | 2016-07-20 | キヤノン株式会社 | Mapping server and single sign-on system, mapping function providing method |
CN103546432B (en) * | 2012-07-12 | 2015-12-16 | 腾讯科技(深圳)有限公司 | Realize method and system and browser, the name server of cross-domain redirect |
JP5589034B2 (en) * | 2012-07-24 | 2014-09-10 | 日本電信電話株式会社 | Information distribution system, authentication linkage method, apparatus, and program thereof |
CN103634159B (en) * | 2012-08-24 | 2018-11-09 | 百度在线网络技术(北京)有限公司 | A kind of traffic playback method and device based on simulation login |
US8843514B1 (en) * | 2012-08-31 | 2014-09-23 | Google Inc. | Identifier matching exchange |
CN102868702B (en) * | 2012-09-28 | 2015-09-02 | 用友软件股份有限公司 | System login device and system login method |
JP5279057B1 (en) * | 2012-11-09 | 2013-09-04 | 株式会社Kpiソリューションズ | Information processing system and information processing method |
US9654541B1 (en) | 2012-11-12 | 2017-05-16 | Consumerinfo.Com, Inc. | Aggregating user web browsing data |
US9231930B1 (en) | 2012-11-20 | 2016-01-05 | Amazon Technologies, Inc. | Virtual endpoints for request authentication |
US9444800B1 (en) | 2012-11-20 | 2016-09-13 | Amazon Technologies, Inc. | Virtual communication endpoint services |
US8813206B2 (en) | 2012-11-27 | 2014-08-19 | Hong Kong Applied Science and Technology Research Institute Company Limited | Anonymous personal content access with content bridge |
US9916621B1 (en) | 2012-11-30 | 2018-03-13 | Consumerinfo.Com, Inc. | Presentation of credit score factors |
US10255598B1 (en) | 2012-12-06 | 2019-04-09 | Consumerinfo.Com, Inc. | Credit card account data extraction |
US9985991B2 (en) * | 2013-02-26 | 2018-05-29 | Red Hat, Inc. | HTTP password mediator |
US9870589B1 (en) | 2013-03-14 | 2018-01-16 | Consumerinfo.Com, Inc. | Credit utilization tracking and reporting |
US10102570B1 (en) | 2013-03-14 | 2018-10-16 | Consumerinfo.Com, Inc. | Account vulnerability alerts |
US9406085B1 (en) | 2013-03-14 | 2016-08-02 | Consumerinfo.Com, Inc. | System and methods for credit dispute processing, resolution, and reporting |
US9633322B1 (en) | 2013-03-15 | 2017-04-25 | Consumerinfo.Com, Inc. | Adjustment of knowledge-based authentication |
US10664936B2 (en) | 2013-03-15 | 2020-05-26 | Csidentity Corporation | Authentication systems and methods for on-demand products |
US10685398B1 (en) | 2013-04-23 | 2020-06-16 | Consumerinfo.Com, Inc. | Presenting credit score information |
US9071429B1 (en) | 2013-04-29 | 2015-06-30 | Amazon Technologies, Inc. | Revocable shredding of security credentials |
US9721147B1 (en) | 2013-05-23 | 2017-08-01 | Consumerinfo.Com, Inc. | Digital identity |
US9077747B1 (en) * | 2013-07-23 | 2015-07-07 | Symantec Corporation | Systems and methods for responding to security breaches |
US9443268B1 (en) | 2013-08-16 | 2016-09-13 | Consumerinfo.Com, Inc. | Bill payment and reporting |
US10325314B1 (en) | 2013-11-15 | 2019-06-18 | Consumerinfo.Com, Inc. | Payment reporting systems |
US9477737B1 (en) | 2013-11-20 | 2016-10-25 | Consumerinfo.Com, Inc. | Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules |
USD759690S1 (en) | 2014-03-25 | 2016-06-21 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
USD759689S1 (en) | 2014-03-25 | 2016-06-21 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
USD760256S1 (en) | 2014-03-25 | 2016-06-28 | Consumerinfo.Com, Inc. | Display screen or portion thereof with graphical user interface |
US9892457B1 (en) | 2014-04-16 | 2018-02-13 | Consumerinfo.Com, Inc. | Providing credit data in search results |
US10373240B1 (en) | 2014-04-25 | 2019-08-06 | Csidentity Corporation | Systems, methods and computer-program products for eligibility verification |
CN104038508A (en) * | 2014-07-02 | 2014-09-10 | 携程计算机技术(上海)有限公司 | Setting system and method for website account access permission |
CN104125070B (en) * | 2014-07-30 | 2018-05-15 | 中国银行股份有限公司 | A kind of mutual trust authentication method and system for multiple information interaction systems |
HK1197632A2 (en) * | 2014-08-08 | 2015-01-30 | 創萬科技有限公司 | An instantaneous communication system |
CN105471579B (en) * | 2014-09-10 | 2019-05-31 | 阿里巴巴集团控股有限公司 | A kind of trust login method and device |
CN104243488B (en) * | 2014-09-29 | 2017-10-27 | 成都西山居互动娱乐科技有限公司 | A kind of login authentication method of inter-network site server |
CN104270391B (en) * | 2014-10-24 | 2018-10-19 | 中国建设银行股份有限公司 | A kind of processing method and processing device of access request |
CN106162574B (en) | 2015-04-02 | 2020-08-04 | 成都鼎桥通信技术有限公司 | Unified authentication method for applications in cluster system, server and terminal |
US11252190B1 (en) * | 2015-04-23 | 2022-02-15 | Amazon Technologies, Inc. | Limited access policy bypass |
CN104901956B (en) * | 2015-05-19 | 2017-12-08 | 仲恺农业工程学院 | A kind of network community user authentication method and Verification System |
KR101647601B1 (en) * | 2015-07-22 | 2016-08-24 | 케이이노베이션 주식회사 | Apparatus, method and computer readable recording medium for interworking the account based on a mobile terminal and the account based on a game |
CN106487763B (en) * | 2015-08-31 | 2020-01-10 | 腾讯科技(深圳)有限公司 | Data access method based on cloud computing platform and user terminal |
US20170140134A1 (en) * | 2015-11-16 | 2017-05-18 | Welch Allyn, Inc. | Medical device user caching |
CN105337997B (en) * | 2015-11-30 | 2020-10-23 | 广州华多网络科技有限公司 | Login method of application client and related equipment |
CN105915497A (en) * | 2015-12-14 | 2016-08-31 | 乐视网信息技术(北京)股份有限公司 | Processing method for user login jump and processing system thereof |
CN106899539B (en) * | 2015-12-17 | 2020-03-20 | 阿里巴巴集团控股有限公司 | Cross-system business operation execution method, business platform and target system |
CN105430012B (en) * | 2015-12-25 | 2018-07-24 | 无锡天脉聚源传媒科技有限公司 | A kind of multi-site synchronizes the method and device of login |
CN107666383B (en) * | 2016-07-29 | 2021-06-18 | 阿里巴巴集团控股有限公司 | Message processing method and device based on HTTPS (hypertext transfer protocol secure protocol) |
CN107689936B (en) * | 2016-08-03 | 2021-07-06 | 阿里巴巴集团控股有限公司 | Security verification system, method and device for login account |
CN107249001B (en) * | 2017-07-19 | 2018-07-20 | 北京深思数盾科技股份有限公司 | A kind of information processing method, apparatus and system |
US11553338B2 (en) | 2017-08-15 | 2023-01-10 | Carrier Corporation | Automatic building system control restrictions based on physical presence defined by access control event information and knowledge base system |
US10911234B2 (en) | 2018-06-22 | 2021-02-02 | Experian Information Solutions, Inc. | System and method for a token gateway environment |
CN109302446B (en) * | 2018-08-15 | 2022-10-25 | 广州市保伦电子有限公司 | Cross-platform access method and device, electronic equipment and storage medium |
US20200074541A1 (en) | 2018-09-05 | 2020-03-05 | Consumerinfo.Com, Inc. | Generation of data structures based on categories of matched data items |
US11315179B1 (en) | 2018-11-16 | 2022-04-26 | Consumerinfo.Com, Inc. | Methods and apparatuses for customized card recommendations |
US11238656B1 (en) | 2019-02-22 | 2022-02-01 | Consumerinfo.Com, Inc. | System and method for an augmented reality experience via an artificial intelligence bot |
CN110213260A (en) * | 2019-05-29 | 2019-09-06 | 北京中亦安图科技股份有限公司 | User ID authentication method and device |
US11941065B1 (en) | 2019-09-13 | 2024-03-26 | Experian Information Solutions, Inc. | Single identifier platform for storing entity data |
CN110995661B (en) * | 2019-11-12 | 2022-04-01 | 广州大白互联网科技有限公司 | Network card platform |
US11121863B1 (en) | 2020-03-12 | 2021-09-14 | Oracle International Corporation | Browser login sessions via non-extractable asymmetric keys |
CN113497708B (en) * | 2020-03-18 | 2022-11-08 | 大唐移动通信设备有限公司 | Certificate application method and device |
KR102384575B1 (en) * | 2020-08-27 | 2022-04-07 | 최화인 | Author verifying apparatus / method using decentralized network and self-sovereign id |
US11895106B2 (en) | 2021-01-28 | 2024-02-06 | Oracle International Corporation | Automatic sign-in upon account signup |
US11804101B2 (en) * | 2021-07-21 | 2023-10-31 | SwissClear Global Inc. | Integrating online content streaming services with real time betting platforms |
CN114448729B (en) * | 2022-04-07 | 2022-06-07 | 中国信息通信研究院 | Identity authentication method and device for client in industrial internet |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000057099A (en) * | 1998-08-12 | 2000-02-25 | Open Loop:Kk | Certifying device and recording medium |
JP2002149651A (en) * | 2000-11-13 | 2002-05-24 | Hitachi Ltd | Data management system |
JP2002324051A (en) * | 2001-04-26 | 2002-11-08 | Fuji Xerox Co Ltd | Method and apparatus for user identification |
JP2005316528A (en) * | 2004-04-27 | 2005-11-10 | Hitachi Ltd | Electronic data providing device and method with operation authority function, program therefor and computer readable recording medium for recording the program |
JP2006074487A (en) * | 2004-09-02 | 2006-03-16 | Mizuho Information & Research Institute Inc | Authentication managing method and authentication management system |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6058309A (en) | 1996-08-09 | 2000-05-02 | Nortel Networks Corporation | Network directed system selection for cellular and PCS enhanced roaming |
EP1150529A1 (en) | 2000-04-28 | 2001-10-31 | Lucent Technologies Inc. | System and method for registering a wireless unit at the border between geographic service areas |
US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
US20030177388A1 (en) * | 2002-03-15 | 2003-09-18 | International Business Machines Corporation | Authenticated identity translation within a multiple computing unit environment |
CN1301477C (en) * | 2002-07-05 | 2007-02-21 | 威盛电子股份有限公司 | Web site registering data managing system and method |
US7587491B2 (en) | 2002-12-31 | 2009-09-08 | International Business Machines Corporation | Method and system for enroll-thru operations and reprioritization operations in a federated environment |
US20040128541A1 (en) * | 2002-12-31 | 2004-07-01 | Iinternational Business Machines Corporation | Local architecture for federated heterogeneous system |
CN100370767C (en) | 2003-09-30 | 2008-02-20 | 华为技术有限公司 | Management method for wireless LAN service usage by mobile subscriber |
CN1323508C (en) * | 2003-12-17 | 2007-06-27 | 上海市高级人民法院 | A Single Sign On method based on digital certificate |
US7454623B2 (en) * | 2004-06-16 | 2008-11-18 | Blame Canada Holdings Inc | Distributed hierarchical identity management system authentication mechanisms |
US7634803B2 (en) * | 2004-06-30 | 2009-12-15 | International Business Machines Corporation | Method and apparatus for identifying purpose and behavior of run time security objects using an extensible token framework |
CN1835438B (en) | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | Method of realizing single time accession between websites and website thereof |
-
2006
- 2006-03-22 CN CN2006100655583A patent/CN1835438B/en active Active
-
2007
- 2007-03-20 HK HK07102970.3A patent/HK1096790A1/en unknown
- 2007-03-21 US US11/689,333 patent/US8250095B2/en active Active
- 2007-03-22 EP EP07735231.8A patent/EP1997271B1/en active Active
- 2007-03-22 WO PCT/IB2007/051018 patent/WO2007107969A1/en active Application Filing
- 2007-03-22 JP JP2009501014A patent/JP2009541817A/en active Pending
-
2012
- 2012-07-13 US US13/548,415 patent/US8589442B2/en active Active
-
2013
- 2013-04-26 JP JP2013094691A patent/JP5695120B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000057099A (en) * | 1998-08-12 | 2000-02-25 | Open Loop:Kk | Certifying device and recording medium |
JP2002149651A (en) * | 2000-11-13 | 2002-05-24 | Hitachi Ltd | Data management system |
JP2002324051A (en) * | 2001-04-26 | 2002-11-08 | Fuji Xerox Co Ltd | Method and apparatus for user identification |
JP2005316528A (en) * | 2004-04-27 | 2005-11-10 | Hitachi Ltd | Electronic data providing device and method with operation authority function, program therefor and computer readable recording medium for recording the program |
JP2006074487A (en) * | 2004-09-02 | 2006-03-16 | Mizuho Information & Research Institute Inc | Authentication managing method and authentication management system |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5724017B1 (en) * | 2014-05-29 | 2015-05-27 | 周 志偉Zhou Zhi Wei | Authentication linkage system for multiple computer systems |
JP2015225562A (en) * | 2014-05-29 | 2015-12-14 | 周 志偉Zhou Zhi Wei | Authentication coordination system of plural computer systems |
US10476733B2 (en) | 2015-04-15 | 2019-11-12 | Hitachi Systems, Ltd. | Single sign-on system and single sign-on method |
Also Published As
Publication number | Publication date |
---|---|
EP1997271A1 (en) | 2008-12-03 |
JP5695120B2 (en) | 2015-04-01 |
US8250095B2 (en) | 2012-08-21 |
HK1096790A1 (en) | 2007-06-08 |
CN1835438B (en) | 2011-07-27 |
CN1835438A (en) | 2006-09-20 |
US8589442B2 (en) | 2013-11-19 |
WO2007107969A1 (en) | 2007-09-27 |
EP1997271A4 (en) | 2014-08-27 |
US20070240206A1 (en) | 2007-10-11 |
JP2009541817A (en) | 2009-11-26 |
US20120284190A1 (en) | 2012-11-08 |
EP1997271B1 (en) | 2018-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5695120B2 (en) | Single sign-on between systems | |
US8843415B2 (en) | Secure software service systems and methods | |
US8555075B2 (en) | Methods and system for storing and retrieving identity mapping information | |
TWI454111B (en) | Techniques for ensuring authentication and integrity of communications | |
WO2020062668A1 (en) | Identity authentication method, identity authentication device, and computer readable medium | |
EP2328107B1 (en) | Identity controlled data center | |
WO2019020051A1 (en) | Method and apparatus for security authentication | |
CN109361668A (en) | A kind of data trusted transmission method | |
US6931526B1 (en) | Vault controller supervisor and method of operation for managing multiple independent vault processes and browser sessions for users in an electronic business system | |
US20110307949A1 (en) | System and methods for online authentication | |
US20090300355A1 (en) | Information Sharing Method and Apparatus | |
US20080250248A1 (en) | Identity Management System with an Untrusted Identity Provider | |
US20030135734A1 (en) | Secure mutual authentication system | |
CN113312664B (en) | User data authorization method and user data authorization system | |
US11546159B2 (en) | Long-lasting refresh tokens in self-contained format | |
CN108737376A (en) | A kind of double factor authentication method and system based on fingerprint and digital certificate | |
JP3896909B2 (en) | Access right management device using electronic ticket | |
KR102157695B1 (en) | Method for Establishing Anonymous Digital Identity | |
JPH05298174A (en) | Remote file access system | |
Kizza | Authentication | |
JP2004140636A (en) | System, server, and program for sign entrustment of electronic document | |
CN115694838A (en) | Anonymous trusted access control method based on verifiable certificate and zero-knowledge proof | |
RIVERA et al. | Secure enrollment token delivery mechanism for Zero Trust networks using blockchain | |
US20230198767A1 (en) | Distribution of one-time passwords for multi-factor authentication via blockchain | |
Khaleel | Review of Network Authentication Based on Kerberos Protocol. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130523 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140401 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140701 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5695120 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |